Bug bounties - Shoud ¿Informe 0days en componentes de terceros?

7

Suponiendo que:

  1. Las vulnerabilidades en los componentes de terceros no se excluyen explícitamente en el alcance del programa.
  2. El problema es reproducible en el objetivo específico.

¿Debo informar el problema solo al desarrollador externo o al programa? Si el componente se usa y se puede explotar en aplicaciones X, ¿debo reclamar una recompensa por todas ellas?

EDITAR: Parece que los grandes programas pagan regularmente recompensas por vulnerabilidades en componentes de terceros. Ejemplo (puede ser NSFW)

    
pregunta Not Now 30.03.2018 - 04:02
fuente

1 respuesta

6

Es muy probable que el desarrollador que implementa la pieza de código vulnerable esté restringido para modificarlo ya sea por una licencia o por la imposibilidad de hacerlo debido a que no hay suficiente conocimiento para modificar el código, no hay acceso a él u otro similar impedimentos Dicho esto, debe informar la vulnerabilidad al desarrollador externo, que luego debe tomar medidas para mitigar el problema y enviar los cambios a cualquiera que use el código.

Se recomienda que informe el problema a los programas o aplicaciones afectados, pero eso depende de usted. Después de todo, no hay ninguna normativa sobre divulgación de vulnerabilidades y la única pauta es su razonamiento ético.

Para responder directamente a su pregunta, si el desarrollador del código vulnerable es responsable de su mantenimiento (según la licencia del software), lo más probable es que sea la única parte que esté dispuesta o sea elegible para pagarle una recompensa. Sin embargo, se recomienda divulgar la vulnerabilidad a las partes afectadas y es posible que también estén dispuestos a recompensarlo en función de la gravedad de la vulnerabilidad y su capacidad para mitigarla.

    
respondido por el Elhitch 30.03.2018 - 08:41
fuente

Lea otras preguntas en las etiquetas